Clínicas, sanatorios y hospitales, víctimas de un grupo ciberdelincuente.

Un grupo cibercriminal puso a la venta resultados de 665.128 estudios médicos y asegura que fueron extraídos de Informe Médico, un proveedor de software al que pagan 30 clínicas, sanatorios y hospitales de la Argentina.
Informe Médico es una desarrolladora de sistemas de almacenamiento y distribución de imágenes médicas como tomografías, programas para cargar diagnósticos por imágenes y otro tipo de software de gestión médica, según publicó Clarín.
Compraventa de datos personales
La compraventa de datos personales se usa para distintas formas de ciberdelito, entre ellas la suplantación de identidad, una técnica que permite acceder a sistemas sin autorización o llevar a cabo maniobras de ingeniería social. En este contexto, los datos médicos resultan especialmente valiosos: contienen información personal y detallada sobre las personas, lo que los convierte en una herramienta eficaz para armar campañas de phishing más personalizadas.
Este tipo de hackeos constituyen lo que en ciberseguridad se llama un ataque a la cadena de suministro: al comprometer a la empresa, quedan expuestos los clientes que trabajan con ella, entre los que se encuentran entidades de salud como el Hospital Británico y el Sanatorio Anchorena de Argentina, según la lista de clientes de Informe Médico. “La información de nuestros pacientes no está guardada en el datacenter de este proveedor, por lo cual, no se vio afectada”, aclararon fuentes del Hospital Británico al medio porteño.
“Los ataques a la cadena de suministro se caracterizan porque los atacantes para lograr su objetivo no van directo a la víctima final, sino que buscan un punto vulnerable entre sus proveedores, ya sea un proveedor de servicios, de aplicaciones o incluso de hardware. Si logran comprometer a este tercero, pueden utilizar el acceso para modificar aplicaciones o manipular actualizaciones legítimas con códigos maliciosos que les permitan comprometer los sistemas objetivo o también aprovecharse de accesos y recursos compartidos para obtener accesos ilegítimos”, explicó Camilo Gutierrez, jefe de Laboratorio de Eset Latinoamérica.
En este caso, los atacantes extorsionaron con una remuneración económica a cambio de no poner a la venta la información, en un modelo distinto al clásico del ransomware, donde se encripta la información para volverla inaccesible: el grupo cibercriminal saltó directamente a copiar la información y exigir dinero a cambio, bajo la amenaza de la publicación.
La aparición en el foro puede implicar que las negociaciones se cayeron.
Quién atacó: un nuevo grupo entra en la escena
La información apareció durante la noche de este jueves en un foro cibercriminal. Mauro Eldritch, especialista en análisis de amenazas, sigue atento los movimientos de estos grupos cibercriminales. “D0T CUM llevó adelante el ataque, es un grupo nuevo de Data Extortion que comparte tácticas, técnicas y procedimientos con otros grupos de ese tipo”, explicó en diálogo con este medio.
“Hicieron su entrada en el mundo cibercriminal con un ataque de cadena de suministros a Informe Médico, un proveedor de plataformas de digitalización de estudios médicos con gran alcance en Argentina y Ecuador. A partir del compromiso de esa plataforma lograron extraer 665.128 estudios médicos de todo tipo de más de 30 clínicas, sanatorios, institutos, hospitales y centros privados de salud, en la que sería la filtración de datos médicos más grande de Argentina, de Latinoamérica y probablemente del continente”, siguió.
En cuanto al análisis de la información, explicó el director de Birmingham Cyber Arms: “Los estudios publicados corresponden a distintos tipos de prácticas que van desde imágenes (radiografías, ecografías, tomografías) y laboratorio (análisis generales y pruebas específicas) hasta casos de estudios de carácter más íntimo”.
“Los estudios en cuestión incluyen la información personal de los pacientes y profesionales involucrados, y están fechados hasta fines de febrero de 2025 inclusive, lo que indica que el volcado [subida de información] fue reciente. La distribución de los centros comprometidos incluye a varias provincias como La Rioja, Córdoba, Santa Fe, Buenos Aires, Catamarca, Tucumán, La Pampa y Chubut”, agregó.
El “data extortion”, según Clarín, es una evolución dentro de la ciberamenaza del ransomware, un tipo de virus que cifra los archivos para pedir dinero a cambio.
Durante 2024 hubo muchas disrupciones de grupos de peso como LockBit y Black Cat, dos de los principales jugadores de la escena cibercriminal del encriptado de datos para su posterior extorsión. Estos grupos contaban con páginas propias en la dark web, pero luego de estas operaciones de las fuerzas del orden empezaron a replantear las pistas que dejaba su infraestructura.